Https доступ

[mikhan]

Оно есть или будет? А то скрипткиддис типа меня начали доставлять в открытых вайфай сетях.

[Ulan.VIP]

mikhan Зачем? Не думаю что защищенное соединение нужно для форума!

[Mac]

Давно думал над этим, даже смотрел реализацию, но есть сложности. Нужно покупать сертификат, иначе браузер будет ругаться красным цветом. Кроме того, придется делать две версии: с SSL и без, т.к. сажать всех на него не стоит - больше ресурсных затрат и медленнее отклик. А с дублированием не все так просто технически.

[Mac]

А, впрочем... https://ulanovka.ru

Тестим, отписываемся. Пока ломаю мозг, как заменять все ссылки, если SSL-включен.

[mikhan]

Ulan.VIP

давай через публичный вайфай зайди на форум, а там найдутся ловцы печенек

Mac

спасибо. Уровень моей паранойи снизился

[aspirin]

кажется что сайт быстрее работать стал)

соединение защищенное только в момент передачи данных?

Добавлено спустя 4 минуты 55 секунд:

да нее, реально быстрее работает)

[Mac]

соединение защищенное только в момент передачи данных?

Не совсем понимаю вопроса. Ну по сути да А когда оно еще может быть защищенным?

Насчет быстрее не знаю. Наоброт должно чуть медленнее из-за нагрузки от шифрования

[aspirin]

Я вот когда перехожу по ссылке у меня в строке появляется "Безопасный". Опера.

а в остальное время незащищенное соединение.

просто бывает же что там постоянно "Защищенное".

В общем я в этом деле не спец, но работает всё быстро.

[Zaxar]

Да кстати грузит быстрее....!

[mikhan]

тока давайте все по ссл не ходите, а то если все полезут, быстрее уже не будет

[Mac]

aspirin, че-то с Оперой действительно странно. Наверно это потому, что Опера не отрубает сторонние флэши всякие. Если в Хроме тоже их разрешить, значок с зеленого сменится на серый, дескать, зашифровано, но есть небезопасные элементы на странице. Впрочем, эти небезопасные элементы никак на шифрование трафика не влияют, и можно разрешить.

[superman]

Загруженные картинки с сервера ulanovka по http отдаются (соответственно и куки посылаются по http).

[Mac]

superman, да, вы правы. В настройках движка есть опция, включающая безопасные куки. Если ее включить, весь сайт переводится на SSL, что нам, во-первых, не нужно, во-вторых, вызывает разлогин при переходе по ссылкам без https.

Очевидно, для тех, кто хочет пользоваться SSL-соединением, нужно будет дописывать какой-то свой костыль, который при логине будет ставить безопасные куки только им, но в то же время остается проблема с разлогином. Мысли вертятся в сторону htaccess. Если у кого есть мысли, предлагайте.

Добавлено спустя 10 минут 21 секунду:

Хотя может и не совсем правы... Если заходить на сайт изначально по SSL, то все взаимодействие, если я не ошибаюсь, идет по защищенному каналу до тех пор, пока вы не обратитесь к сайту по обычному адресу http://. Раз куки обычные, а не защищенные, то они прекрасно отдадутся по незащищенному соединению - разлогина не произойдет, но теоретическая утечка их возможна.

[superman]

но теоретическая утечка их возможна.

Примерно это и пытался донести.

Только я бы сказал не теоретическая утечка их возможна, а скорее смысла в https при таком раскладе мало. Ведь хоть куки и отправятся по зашифрованному соединению при запросе самой страницы и прочих ресурсов, паралелльно они же будут отправлены открыто по http при запросе картинок.

Решение думаю самое простое такое: дописать в парсер BB-кода замену протокола картинки на "://" вместо "http://", если картинка расположена на сервере улановки (таким образом кто пришел по https - получат ее по зашифрованному соединению, а кто по http - получат по http).

Еще есть вариант хранить картинки на другом домене (либо поддомене, но тогда нужно сам форум на отдельный поддомен).

[Mac]

superman, а разве при запросе картинки может происходить запрос кук?

[superman]

Mac

да, конечно. Картинки на том же домене, поэтому браузер включает их в запрос (можно увидеть в Developer Tools в Chrome, или Firebug и т.п.)

[Mac]

Поковырялся в коде. Включил обращение к скрипту логина из формы логина по SSL (login.php), да бы пароль не отдавался в открытом виде. Это для всех.

Проверил в снифеере. Вроде работает. Просьба затестить, кто разбирается.

Понятно, что и сама форма логина желательно, чтобы была отдана по SSL во избежание ее подмены по пути, но грузить всем индексную по SSL не хочется, а убирать форму логина с главной тем более. В любом случае, если мои измышления верны, сейчас получить пароль в чистом виде при перехвате трафика уже гораздо проблематичнее.

[Sargo]

да бы пароль не отдавался в открытом виде

а до сего момента он всегда в открытом передавался?!

[Mac]

Sargo, разумеется. Как и на любом сайте, в адресной строке которого нет https://. Привет VK.com, Mail.ru *30

Подумал тут, и пришла в голову идея, как решить проблему с картинками. Тем, кто логинится в SSL, выдавать защищенные куки, которые попросту не будут отдаваться по незащищенному каналу, таким образом, вставленные картинки угрозы нести не будут. Единственной проблемой в таком случае остается написание авторедиректа для ссылок на незащищенные страницы форума. Но это уже гораздо проще.

Поправьте, если ошибаюсь.

[Sargo]

разумеется

странно, что никакого метода шифрования использовано не было.

[mikhan]

ничего странного. Всегда так было и есть. Поэтому серфинг в открытых ,например вайфай, сетях, без должного уровня защиты как стороны юзера, так и владельца сети, подвергает офигенному риску персональные данные.

[superman]

Mac

думаю должно сработать.

[Batman V]

сейчас перешел на https://ulanovka.ru форум стал быстрее грузиться почемуто)

[maxx1101]

Как и на любом сайте, в адресной строке которого нет https://. Привет VK.com, Mail.ru

мэйл так то на https://

[DR1VER_]

maxx1101, только ящик. Одноклассники и Мой мир через http.